IAM Role Trust Policies: Misconfigurations Hiding in Plain Sight
a year ago
- #IAM
- #Security
- #AWS
- AWS中的IAM角色信任策略如果配置不当,可能导致严重的权限提升风险
- AWS关于信任策略的文档存在表述混乱且内容分散的问题,极易引发配置错误
- IAM角色由信任策略(定义谁能担任该角色)和权限策略(定义担任角色后允许的操作)组成
- 信任策略包含主体、操作和条件三要素,但其理解难度远高于权限策略
- AWS缺乏专门的信任策略文档体系,导致术语使用和理解存在不一致性
- 两种常见错误配置:信任同一AWS账户下的所有主体,以及混淆多主体间的逻辑OR与AND关系
- 信任同一账户下的所有主体意味着账户内任何身份都可担任该角色,形成权限提升漏洞
- 信任策略中的多个主体是OR(或)关系而非AND(与)关系,理解错误会导致非预期访问
- 这些错误配置目前不会被AWS访问分析器标记,实际风险更高
- 后续文章将探讨跨账户信任错误配置及其他IAM角色安全问题